Автоматизация подключения Microsoft Defender for Cloud с помощью PowerShell

Вы можете защитить рабочие нагрузки Azure программными средствами с помощью модуля PowerShell Microsoft Defender for Cloud. PowerShell позволяет автоматизировать задачи и избежать человеческих ошибок, возникающих в результате выполнения задач вручную. Это особенно полезно в крупномасштабных развертываниях, включающих десятки подписок с сотнями и тысячами ресурсов, которые должны быть защищены с самого начала.

Подключение Microsoft Defender for Cloud с помощью PowerShell позволяет программным образом автоматизировать подключение и управление вашими ресурсами Azure, а также добавить необходимые средства управления безопасностью.

В этой статье содержится пример сценария PowerShell, который можно изменить и использовать в вашей среде, чтобы развернуть Microsoft Defender for Cloud для подписок.

В этом примере мы включите Defender для облака в подписке с идентификатором: <Subscription ID> и применим рекомендуемые параметры, обеспечивающие высокий уровень защиты, включив расширенные функции безопасности Microsoft Defender для облака, обеспечивающие расширенную защиту от угроз и возможности обнаружения угроз:

1. Включите расширенные параметры защиты в Microsoft Defender для облака.

2. Задайте рабочую область Log Analytics, в которую агент Log Analytics будет отправлять данные, собранные на виртуальных машинах в этой подписке. В рамках примера мы используем существующую определенную пользователем рабочую область myWorkspace.

3. Активируйте автоматическую подготовку агента Defender для облака, которая развертывает агент Log Analytics.

4. Назначьте руководителя по информационной безопасности организации в качестве контактного лица по вопросам безопасности, которому будут отправляться оповещения Microsoft Defender for Cloud и сведения о важных событиях.

5. Назначьте политики безопасности по умолчанию для Defender for Cloud.

Необходимые компоненты

Эти шаги следует выполнить перед запуском командлетов Defender for Cloud.

1. Запустите PowerShell от имени администратора.

2. В PowerShell выполните следующие команды:

   Set-ExecutionPolicy -ExecutionPolicy AllSigned
   

   Install-Module -Name Az.Security -Force
   

Подключение Defender for Cloud с помощью PowerShell

1. Зарегистрируйте свои подписки в поставщике ресурсов Defender for Cloud:

   Set-AzContext -Subscription "<Subscription ID>"
   

   Register-AzResourceProvider -ProviderNamespace 'Microsoft.Security'
   

2. Необязательно. Задайте уровень покрытия подписок (активируйте/отключите расширенные функции безопасности Microsoft Defender for Cloud). Если не определено, эти функции будут отключены:

   Set-AzContext -Subscription "<Subscription ID>"
   

   Set-AzSecurityPricing -Name "VirtualMachines" -PricingTier "Standard"
   

3. Настройте рабочую область Log Analytics, куда агенты будут отправлять отчеты. У вас должна быть уже созданная рабочая область Log Analytics, куда виртуальные машины подписки будут отправлять отчеты. Вы можете определить несколько подписок для отправки отчетов в ту же рабочую область. Если не определить рабочую область, будет использоваться установленная по умолчанию.

   Set-AzSecurityWorkspaceSetting -Name "default" -Scope "/subscriptions/<Subscription ID>" -WorkspaceId "/subscriptions/<Subscription ID>/resourceGroups/myRg/providers/Microsoft.OperationalInsights/workspaces/myWorkspace"
   

4. Запустите автоматическую подготовку установки агента Log Analytics на виртуальные машины Azure:

   Set-AzContext -Subscription "<Subscription ID>"
   

   Set-AzSecurityAutoProvisioningSetting -Name "default" -EnableAutoProvision
   

   Примечание.

   Рекомендуется включить автоматическую подготовку, чтобы виртуальные машины Azure были автоматически защищены с помощью Microsoft Defender for Cloud.
   В рамках обновленной стратегии Defender для облака агент Azure Monitor (AMA) больше не будет требоваться для предложения Defender для серверов. Однако он по-прежнему потребуется для Defender для SQL Server на компьютерах. В результате развертывание агента Azure Monitor (AMA) с помощью портала Defender для облака доступно для серверов SQL на компьютерах с новой политикой развертывания. Узнайте больше о том, как выполнить миграцию в процесс автоматической подготовки агента мониторинга Azure (AMA) sql Server.

5. Необязательно. Настоятельно рекомендуется определить контактные данные о безопасности для подключенных подписок, которые будут использоваться в качестве получателей оповещений и уведомлений, созданных Defender для облака:

   Set-AzSecurityContact -Name "default1" -Email "CISO@my-org.com" -AlertAdmin -NotifyOnAlert
   

6. Назначьте инициативу политики по умолчанию для Microsoft Defender for Cloud:

   Register-AzResourceProvider -ProviderNamespace 'Microsoft.PolicyInsights'
   

   $Policy = Get-AzPolicySetDefinition | where {$_.Properties.displayName -EQ 'Microsoft cloud security benchmark'} 
   
   New-AzPolicyAssignment -Name 'Microsoft cloud security benchmark' -PolicySetDefinition $Policy -Scope '/subscriptions/$($Subscription.Id)'
   

Microsoft Defender for Cloud с помощью PowerShell включен.

Теперь вы можете использовать эти командлеты PowerShell со сценариями автоматизации, чтобы программно повторить эти операции для подписок и ресурсов. Это экономит время и уменьшает вероятность человеческой ошибки. Вы можете использовать этот пример сценария в качестве ориентира.

См. также

Дополнительные сведения об использовании PowerShell для автоматизации подключения к Microsoft Defender for Cloud см. в следующей статье:

• Az.Security

Дополнительные сведения о Microsoft Defender for Cloud см. в следующих статьях:

• Настройка политик безопасности в Microsoft Defender для облака. Узнайте, как настроить политики безопасности для подписок и групп ресурсов Azure.
• Управление оповещениями безопасности и реагирование на них в Microsoft Defender для облака. Узнайте, как управлять оповещениями системы безопасности и реагировать на них.